Группы Lazarus: эволюция и вызовы кибербезопасности

Группы Lazarus: эволюция и вызовы кибербезопасности

Источник: blogs.jpcert.or.jp

В последнее время термин «Lazarus» претерпел значительные изменения. Сначала он обозначал отдельную APT-группу (Advanced Persistent Threat), но теперь охватывает множество подгрупп с дифференцированными функциональными характеристиками. С увеличением масштабов деятельности организации Lazarus становится критически важным анализировать и распределять действия на уровне подгрупп, чтобы эффективно противостоять связанным с ней хакерам.

Необходимость идентификации подгрупп

Автор отчета подчеркивает, что идентификация подгрупп является ключевым аспектом для принятия текущих мер безопасности. Это особенно актуально в борьбе с атаками на различные сектора, такие как:

  • криптовалюта
  • оборона
  • авиационная промышленность

Разнообразие названий для различных кампаний и подгрупп Lazarus приводит к путанице в системе безопасности. Наблюдения показывают, что тактика, методы и процедуры (TTP) в этих подгруппах часто совпадают, что усложняет их анализ. Например, в нескольких атаках LinkedIn использовался в качестве исходного вектора атаки, и, согласно последним данным, количество подобных методов продолжает расти.

Формирование новых групп и интеграция тактик

Появление новых оперативных групп, подобных Bureau325, которые используют TTP, аналогичные подгруппам Lazarus, свидетельствует о переходе к более интегрированной, но менее традиционной иерархии поведения.

Причины и преимущества точной идентификации подгрупп

Автор обосновывает необходимость точного определения подгрупп по нескольким факторам:

  • Увеличение эффективности мер по предотвращению ущерба через соответствующие предупреждения, направленные на затронутые отрасли.
  • Создание эффективной и целенаправленной коммуникации, признавая разнообразие целей подгрупп.
  • Проведение точного долгосрочного анализа угроз для Японии, что поддерживает контроперации против участников APT.

Отмечается, что уникальные организационные характеристики различных подгрупп требуют адаптации защитных мер в соответствии с международным правом.

Сообщения для злоумышленников и их последствия

Подчеркивается важность передачи сообщений злоумышленникам при помощи точной идентификации подгрупп, что может ограничить оперативный успех злоумышленников. Несмотря на сложности операций APT и трудности с их атрибуцией, выделение подгрупп может значительно повысить способности защитников и помочь в разработке более детальных стратегий защиты.

Жесткая и мягкая атрибуция

В статье также проводится различие между «жесткой» и «мягкой» атрибуцией, которая включает:

  • Строгую юридическую ответственность
  • Более широкое групповое профилирование

Текущая ситуация показывает, что, хотя жесткая атрибуция необходима для долгосрочных стратегий, мягкая атрибуция остается полезной для выдачи предупреждений и разработки контрмер. Автор подчеркивает, что будущие дискуссии должны сосредоточиться на сложностях раскрытия информации и ее влиянии на эффективные стратегии кибербезопасности.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: